20.01.2016 | Data

Das Ende von Safe Harbor: Was Unternehmen jetzt tun müssen

Fünf vor zwölf: Viel Zeit bleibt den Unternehmen nicht mehr, um sich um die Rechtssicherheit ihrer Datentransfers zu kümmern.
Bild: Haufe Online Redaktion

Das Safe-Harbor-Abkommen zu Datentransfers in die USA wurde im letzten Oktober für ungültig erklärt. Noch bis Ende Januar bleibt den Unternehmen Zeit, ihre Datentransfers anzupassen - danach droht ein Bußgeld. Der Branchenverband Bitkom beantwortet die wichtigsten Fragen dazu.

Unternehmen, die ab Februar weiterhin Daten auf Basis von Safe Harbor übermitteln, droht ein Bußgeld in Höhe von bis zu 300.000 Euro – kein Pappenstiel. Andreas Schulz, Datenschutz-Experte bei Bitkom Consult, beantwortet die wichtigsten Fragen, die sich Unternehmen jetzt stellen.

Welche Unternehmen sind betroffen?  

Unternehmen sollten umgehend identifizieren, welche Datenübermittlungen bisher auf Grundlage des Safe-Harbor-Abkommens erfolgten. Recht klar lässt sich diese Frage beantworten, wenn mit US-Dienstleistern schriftliche Vereinbarungen vorliegen, die die Datenübermittlung regeln. Aber Achtung: Datenübermittlungen liegen unter Umständen schon dann vor, wenn zum Beispiel auf der eigenen Unternehmens-Webseite Web-Analyse-Dienste von US-Anbietern eingebunden werden. Hierzu gibt es oft keine schriftlichen Vereinbarungen.  

Was sagen die Aufsichtsbehörden?

Unternehmen sollten sich bei der Bewertung ihres Handlungsbedarfs mit der Rechtsauffassung der Datenschutzbehörde in ihrem Bundesland vertraut machen. 

Wie sollten Unternehmen reagieren?

Eine praxistaugliche Alternative zum Safe-Harbor-Abkommen sind die sogenannten Standardvertragsklauseln der EU-Kommission. Datenübermittlungen in die USA sind weiterhin möglich, wenn die vertragliche Beziehung mit dem Dienstleister auf diese Vertragsklauseln gestützt wird. Als Reaktion auf die Safe-Harbor-Entscheidung bieten mehrere US-Dienstleister an, sowohl Alt- als auch Neuverträge auf Standardvertragsklauseln umzustellen. Die Standardvertragsklauseln seien jedoch kein Bausatz, sondern müssten unverändert in die jeweiligen Verträge mit dem Dienstleister übernommen werden, sagt Andreas Schulz. Darüber hinaus bieten viele Cloud-Anbieter an, Daten in der EU zu speichern und zu verarbeiten.

Sind Verfahren wie Anonymisierung und Verschlüsselung rechtssichere Alternativen?

Als unkritisch gilt es, technisch zuverlässig anonymisierte Daten in die USA zu übermitteln. Im besten Fall sind solche Daten auch verschlüsselt. "Die Verschlüsselung nach anerkanntem Stand der Technik führt dazu, dass Daten in den USA nicht deanonymisiert werden können", so Schulz. Für die reine Datenspeicherung bei US-Cloud-Anbietern ist eine Verschlüsselung aus Sicht von Datenschutz und Datensicherheit daher sinnvoll. Sollen verschlüsselte Daten nach der Übermittlung jedoch bearbeitet werden können, ist dies zumeist praktisch nur schwer möglich.

Weiterführende Informationen zum Safe-Harbor-Urteil hat der Bitkom in einer FAQ-Liste zusammengestellt, die kostenlos abgerufen werden kann.

Weiterlesen:

Big Data bleibt für viele Marketer Neuland

Mit diesen Big-Data-Trends sollten Sie sich beschäftigen

Schlagworte zum Thema:  Digitalisierung, Big Data, Database, CRM

Aktuell

Meistgelesen